Au cœur de la faille Zendesk : comment des hackers ont dérobé des millions de tickets de support de Hims & Hers

Lorsque vous demandez de l’aide pour un problème de santé sensible, la dernière chose à laquelle vous vous attendez est que vos informations personnelles tombent entre les mains de hackers. Pourtant, pour les clients de Hims & Hers, un géant de la télésanté valorisé à plusieurs milliards de dollars, ce cauchemar est devenu réalité après que des cybercriminels ont infiltré le système de support client de l’entreprise début février 2026. Cette violation, qui s’inscrit dans une vague plus large d’attaques exploitant les faiblesses des logiciels d’assistance cloud, a ébranlé les utilisateurs et placé tout le secteur en état d’alerte.

La chronologie de la violation dresse un tableau inquiétant. Le 5 février, Hims & Hers a détecté une activité suspecte sur sa plateforme de service client externalisée, propulsée par Zendesk. En quelques jours, l’ampleur réelle est apparue : du 4 au 7 février, des acteurs non autorisés ont accédé à une multitude de tickets de support, dont certains contenaient noms, coordonnées et autres données sensibles soumises par des clients en quête d’aide. Bien que l’entreprise affirme qu’aucun dossier médical ni message confidentiel entre patient et médecin n’ait été compromis, les données exposées restent précieuses pour les cybercriminels, notamment pour des attaques de phishing ou de vol d’identité.

Le coupable : ShinyHunters, un groupe d’extorsion de données bien connu. Selon des sources en cybersécurité, les attaquants ont exploité des vulnérabilités dans les comptes Okta Single Sign-On (SSO), une méthode de plus en plus prisée pour accéder à des plateformes SaaS tierces comme Zendesk. Une fois à l’intérieur, ils ont siphonné des millions de dossiers de support - non seulement pour Hims & Hers, mais dans le cadre d’une campagne plus large visant plusieurs organisations.

Ce dernier incident n’est pas isolé. Des violations similaires chez des entreprises comme ManoMano et Crunchyroll, toutes deux impliquant Zendesk, laissent penser à un problème systémique dans la manière dont les plateformes de support client sont intégrées et sécurisées. La dépendance aux services cloud tiers, bien que pratique, ouvre de nouvelles portes aux attaquants - surtout lorsque les solutions d’authentification unique sont compromises.

En réponse, Hims & Hers a déployé un ensemble de mesures post-incident bien connues : offrir un an de surveillance de crédit gratuite, inciter les clients à rester vigilants face aux messages suspects et promettre de renforcer la sécurité. Pourtant, alors que les plateformes de support deviennent une cible privilégiée des cybercriminels, une question demeure : les entreprises en font-elles assez pour protéger ceux qui leur confient leurs problèmes les plus personnels ?

Pour les utilisateurs, la leçon est claire : ne supposez jamais que vos messages au support client sont à l’abri des regards indiscrets, surtout à une époque où les plateformes tierces et les intégrations cloud sont les nouveaux champs de bataille. Pour le secteur, cette violation est un signal d’alarme : la sécurité ne peut s’arrêter à la porte du cabinet médical. Elle doit s’étendre à chaque système manipulant des données patients, aussi « routinier » soit-il.

WIKICROOK

• Zendesk : Zendesk est un système de support basé sur le cloud permettant de gérer les tickets de service client, les chats en direct et les demandes de facturation sur une seule plateforme.
• Okta SSO : Okta SSO permet aux utilisateurs d’accéder à plusieurs applications avec une seule connexion, simplifiant l’authentification et améliorant la sécurité pour les organisations de toute taille.
• Violation de données : Une violation de données survient lorsque des parties non autorisées accèdent ou volent des données privées d’une organisation, entraînant souvent l’exposition d’informations sensibles ou confidentielles.
• Phishing : Le phishing est une cybercriminalité où des attaquants envoient de faux messages pour inciter les utilisateurs à révéler des données sensibles ou à cliquer sur des liens malveillants.
• Groupe d’extorsion : Un groupe d’extorsion est une organisation de cybercriminels qui vole des données et exige un paiement pour empêcher leur divulgation, leur vente ou leur destruction.